Erste Schritte mit Windows LAPS und Windows Server Active Directory
Erfahren Sie mehr zu den ersten Schritten mit Windows Local Administrator Password Solution (Windows LAPS) und Windows Server Active Directory. In diesem Artikel werden die grundlegenden Verfahren für die Verwendung von Windows LAPS zum Sichern von Kennwörtern in Windows Server Active Directory und zum Abrufen dieser Kennwörter beschrieben.
Domänenfunktionsebene und Versionsanforderungen für Domänencontroller
Wenn Ihre Domäne für eine Domänenfunktionsebene (Domain Functional Level, DFL) unter 2016 konfiguriert ist, können Sie den Windows LAPS-Kennwortverschlüsselungszeitraum nicht aktivieren. Ohne Kennwortverschlüsselung können Clients nur zum Speichern von Kennwörtern in Klartext (durch Active Directory-ACLs geschützt) konfiguriert werden, und Domänencontroller können nicht für die Verwaltung des lokalen DSRM-Kontos konfiguriert werden.
Sobald Ihre Domäne die Domänenfunktionsebene 2016 erreicht, können Sie die Windows LAPS-Kennwortverschlüsselung aktivieren. Falls Sie jedoch weiterhin Windows Server 2016-Domänencontroller ausführen, müssen Sie beachten, dass diese Domänencontroller Windows LAPS nicht unterstützen und daher das DSRM-Kontoverwaltungsfeature nicht verwenden können.
Sie können unterstützte Betriebssysteme vor Windows Server 2016 auf Ihren Domänencontrollern verwenden, müssen sich aber dieser Einschränkungen bewusst sein.
In der folgenden Tabelle sind die verschiedenen unterstützten oder nicht unterstützten Szenarien zusammengefasst:
| Domänendetails | Speicherung von Klartextkennwörtern unterstützt | Speicherung von verschlüsselten Kennwörtern unterstützt (für in die Domäne eingebundene Clients) | DSRM-Kontoverwaltung unterstützt (für Domänencontroller) |
|---|---|---|---|
| Vor Domänenfunktionsebene 2016 | Ja | Nr. | Nein |
| Domänenfunktionsebene 2016 mit mindestens einem Windows Server 2016-Domänencontroller | Ja | Ja | Ja, aber nur für Domänencontroller mit Windows Server 2019 und höher |
| Domänenfunktionsebene 2016 nur mit Windows Server 2019-Domänencontrollern und höher | Ja | Ja | Ja |
Microsoft empfiehlt Kund*innen dringend, Clients, Server und Domänencontroller auf das neueste verfügbare Betriebssystem zu aktualisieren, damit sie die aktuellen Features und Sicherheitsverbesserungen nutzen können.
Aktualisieren des Windows Server Active Directory-Schemas
Das Windows Server Active Directory-Schema muss vor der Verwendung von Windows LAPS aktualisiert werden. Dies erfolgt mithilfe des Cmdlets Update-LapsADSchema. Es handelt sich um einen einmaligen Vorgang für die gesamte Gesamtstruktur. Dieser Vorgang kann auf einem mit Windows LAPS aktualisierten Windows Server 2022- oder Windows Server 2019-Domänencontroller, aber auch auf Computern, die keine Domänencontroller sind, ausgeführt werden, sofern diese das PowerShell-Modul von Windows LAPS unterstützen.
PS C:\> Update-LapsADSchema
Tipp
Übergeben Sie den Parameter -Verbose, um detaillierte Informationen über die Aktivitäten des Cmdlets Update-LapsADSchema (oder jedes anderen Cmdlets im PowerShell-Modul LAPS) anzuzeigen.
Erteilen der Berechtigung für das verwaltete Gerät zum Aktualisieren des Kennworts
Dem verwalteten Gerät muss die Berechtigung zum Aktualisieren seines Kennworts erteilt werden. Diese Aktion erfolgt, indem vererbbare Berechtigungen für die Organisationseinheit des Geräts festgelegt werden. Set-LapsADComputerSelfPermission wird für diesen Zweck verwendet, z. B.:
PS C:\> Set-LapsADComputerSelfPermission -Identity NewLaps
Name DistinguishedName
---- -----------------
NewLAPS OU=NewLAPS,DC=laps,DC=com
Tipp
Wenn Sie die vererbbaren Berechtigungen für den Stamm der Domäne festlegen möchten, können Sie dazu den gesamten Domänenstamm mithilfe der DN-Syntax angeben. Geben Sie beispielsweise „DC=laps,DC=com“ für den Parameter „-Identity“ an.
Berechtigungen zur Abfrage von Extended Rights (erweiterte Rechte)
Einigen Benutzern oder Gruppen wurde möglicherweise bereits die Berechtigung „Erweiterte Rechte“ für die Organisationseinheit des verwalteten Geräts erteilt. Diese Berechtigung ist problematisch, da sie das Lesen vertraulicher Attribute ermöglicht (alle Windows LAPS-Kennwortattribute sind als vertraulich gekennzeichnet). Eine Möglichkeit zum Prüfen, wem diese Berechtigungen erteilt wurden, ist das Cmdlet Find-LapsADExtendedRights. Beispiel:
PS C:\> Find-LapsADExtendedRights -Identity newlaps
ObjectDN ExtendedRightHolders
-------- --------------------
OU=NewLAPS,DC=laps,DC=com {NT AUTHORITY\SYSTEM, LAPS\Domain Admins}
In der Ausgabe in diesem Beispiel verfügen nur vertrauenswürdige Entitäten (SYSTEM und Domänenadministratoren) über die Berechtigung. Es ist keine andere Aktion erforderlich.
Konfigurieren der Geräterichtlinie
Führen Sie einige Schritte aus, um die Geräterichtlinie zu konfigurieren.
Wählen eines Mechanismus zur Richtlinienbereitstellung
Der erste Schritt ist die Wahl, wie die Richtlinie auf Ihre Geräte angewendet werden soll.
Die meisten Umgebungen verwenden Windows LAPS-Gruppenrichtlinie, um die erforderlichen Einstellungen auf ihren in eine Windows Server Active Directory-Domäne eingebundenen Geräten bereitzustellen.
Wenn Ihre Geräte auch hybrid in Microsoft Entra ID eingebunden sind, können Sie die Richtlinie mithilfe von Microsoft Intune mit dem Windows LAPS-Konfigurationsdienstanbieter (Configuration Service Provider, CSP) bereitstellen.
Konfigurieren bestimmter Richtlinien
Sie müssen mindestens die Einstellung BackupDirectory mit dem Wert 2 (Kennwörter in Windows Server Active Directory sichern) konfigurieren.
Wenn Sie die Einstellung AdministratorAccountName nicht konfigurieren, verwaltet Windows LAPS standardmäßig das integrierte lokale Administratorkonto. Dieses integrierte Konto wird automatisch anhand seiner bekannten relativen ID (RID) identifiziert und sollte niemals mithilfe seines Namens identifiziert werden. Der Name des integrierten lokalen Administratorkontos hängt vom Standardgebietsschema des Geräts ab.
Wenn Sie ein benutzerdefiniertes lokales Administratorkonto konfigurieren möchten, sollten Sie die Einstellung AdministratorAccountName mit dem Namen dieses Kontos konfigurieren.
Wichtig
Wenn Sie Windows LAPS zum Verwalten eines benutzerdefinierten lokalen Administratorkontos konfigurieren, müssen Sie sicherstellen, dass das Konto erstellt wird. Windows LAPS erstellt das Konto nicht. Es wird empfohlen, zum Erstellen des Kontos den CSP RestrictedGroups zu verwenden.
Sie können andere Einstellungen, z. B. PasswordLength, nach Bedarf für Ihre Organisation konfigurieren.
Wenn Sie keine bestimmte Einstellung konfigurieren, wird der Standardwert angewendet. Sie sollten diese Standardwerte verstehen. Wenn Sie beispielsweise die Kennwortverschlüsselung aktivieren, die Einstellung ADPasswordEncryptionPrincipal aber nicht konfigurieren, wird das Kennwort verschlüsselt, sodass es nur von Domänen-Administratoren entschlüsselt werden kann. Sie können ADPasswordEncryptionPrincipal mit einer anderen Einstellung konfigurieren, wenn Sie möchten, dass es auch von anderen als den Domänen-Administratoren entschlüsselt werden kann.
Aktualisieren eines Kennworts in Windows Server Active Directory
Windows LAPS verarbeitet die derzeit aktive Richtlinie regelmäßig (stündlich) und reagiert auf Änderungsbenachrichtigungen von Gruppenrichtlinie. Die Reaktion erfolgt basierend auf den Richtlinien- und Änderungsbenachrichtigungen.
Um zu überprüfen, ob das Kennwort in Windows Server Active Directory erfolgreich aktualisiert wurde, suchen Sie im Ereignisprotokoll nach dem Ereignis 10018:
Um Wartezeit nach Anwenden der Richtlinie zu vermeiden, können Sie das PowerShell-Cmdlet Invoke-LapsPolicyProcessing ausführen.
Abrufen eines Kennworts aus Windows Server Active Directory
Mit dem Cmdlet Get-LapsADPassword können Sie Kennwörter aus Windows Server Active Directory abrufen. Beispiel:
PS C:\> Get-LapsADPassword -Identity lapsAD2 -AsPlainText
ComputerName : LAPSAD2
DistinguishedName : CN=LAPSAD2,OU=NewLAPS,DC=laps,DC=com
Account : Administrator
Password : Zlh+lzC[0e0/VU
PasswordUpdateTime : 7/1/2022 1:23:19 PM
ExpirationTimestamp : 7/31/2022 1:23:19 PM
Source : EncryptedPassword
DecryptionStatus : Success
AuthorizedDecryptor : LAPS\Domain Admins
Dieses Ausgabeergebnis gibt an, dass die Kennwortverschlüsselung aktiviert ist (siehe Source). Die Kennwortverschlüsselung erfordert, dass Ihre Domäne mindestens für die Domänenfunktionsebene „Windows Server 2016“ konfiguriert ist.
Rotieren des Kennworts
Windows LAPS liest die Kennwortablaufzeit während jedes Richtlinienverarbeitungszyklus aus Windows Server Active Directory. Wenn das Kennwort abgelaufen ist, wird sofort ein neues Kennwort generiert und gespeichert.
In einigen Fällen (z. B. nach einer Sicherheitsverletzung oder für Ad-hoc-Tests) können Sie das Kennwort frühzeitig rotieren. Mit dem Cmdlet Reset-LapsPassword können Sie eine manuelle Kennwortrotation erzwingen.
Mit dem Cmdlet Set-LapsADPasswordExpirationTime können Sie die geplante Ablaufzeit des Kennworts so festlegen, wie sie in Windows Server Active Directory gespeichert ist. Beispiel:
PS C:\> Set-LapsADPasswordExpirationTime -Identity lapsAD2
DistinguishedName Status
----------------- ------
CN=LAPSAD2,OU=NewLAPS,DC=laps,DC=com PasswordReset
Bei der nächsten Aktivierung von Windows LAPS zur Verarbeitung der aktuellen Richtlinie wird die geänderte Ablaufzeit des Kennworts angezeigt und das Kennwort rotiert. Wenn Sie nicht warten möchten, können Sie das Cmdlet Invoke-LapsPolicyProcessing ausführen.
Mit dem Cmdlet Reset-LapsPassword können Sie lokal eine sofortige Rotation des Kennworts erzwingen.
Weitere Informationen
- Einführung von Windows Local Administrator Password Solution in Microsoft Entra ID
- Windows Local Administrator Password Solution in Microsoft Entra ID
- CSP RestrictedGroups
- Microsoft Intune
- Microsoft Intune-Unterstützung für Windows LAPS
- Windows LAPS CSP
- Windows LAPS Troubleshooting Guidance (Leitfaden zur Problembehandlung für Windows LAPS)